在 /下载端点(CVE-2025-32961)中,CUBA JPA Web API容易受到跨站点脚本(XSS)的影响
CVE编号
CVE-2025-32961
利用情况
暂无
补丁情况
N/A
披露时间
2025-04-23
漏洞描述
古巴JPA Web API允许通过发送简单的HTTP请求来加载和保存应用程序数据模型中定义的任何实体。在版本1.1.1之前,输入参数包含文件路径和名称,如果名称部分以“.html”结尾,可以被操纵以返回Content-Type头信息中的文本/HTML。这可能会允许在浏览器中执行恶意JavaScript代码。为了成功攻击,需要提前上传恶意文件。这个问题已在版本1.1.1中得到修复。解决方案已在Jmix文档网站上提供。
解决建议
建议您更新当前系统或软件至最新版,完成漏洞的修复。
文章评论